In het Digital Identity Compass wijzen we je op ontwikkelingen in de wereld van Digital Identity, oftewel Identity & Access Management.
Inhoudsopgave
Workforce Identity
Privileged Access Management
Customer Identity and Access Management
Digitale Identiteit
Nederlandse Overheid
Overige ontwikkelingen
Podcast tip van de maand
Workforce Identity
Datelek Universiteit Twente door verkeerd toegewezen rollen en rechten
Security.nl, 6 mei 2022
Security.nl meldt dat de Universiteit Twente een datalek heeft gehad waarbij honderden personeelsleden tijdelijk de persoonsgegevens van alle 3500 medewerkers konden inzien. Dit datalek ontstond doordat de rollen en rechten binnen een nieuw financieel administratiesysteem verkeerd waren toegewezen. Hoeveel van de 115 medewerkers die tijdens de periode inlogden op het systeem ook daadwerkelijk de gegevens van andere medewerkers hebben gezien, is onbekend. De universiteit heeft het datalek gemeld aan de Autoriteit Persoonsgegevens.
Google, Apple en Microsoft willen sneller van het wachtwoord af
AG Connect, 6 mei 2022
Google, Apple en Microsoft hebben hun ondersteuning aan de FIDO Alliance uitgebreid. De ‘Passkey’ van de FIDO Alliance stuurt via bluetooth een authenticatieverzoek naar de telefoon van een gebruiker als deze wil inloggen op een app of website. De gebruiker moet de telefoon vervolgens ontgrendelen met een pin of biometrische gegevens. Google, Apple en Microsoft gaan zorgen dat gebruikers automatisch op meerdere apparaten bij hun passkeys kunnen.
Privileged Access Management
NIST: zo voorkom je supplychain-risico’s
AG Connect, 6 mei 2022
NIST heeft n.a.v. diverse supplychain-aanvallen een handreiking met aangescherpte maatregelen gepubliceerd. In de richtlijn wordt per profiel (denk aan: securityspecialist, inkoop, beheer, etc.) aangegeven welke maatregelen dit profiel kan nemen. Het biedt daarnaast handvatten voor implementatieplannen, policies en risk assessments voor producten en diensten.
‘Stop nou eens met deze 10 dingen die het cybercriminelen makkelijk maken’
AG Connect, 19 mei 2022
Verschillende cybersecurity-organisaties, waaronder het NCSC, hebben een lijst opgesteld met de meest gemaakte fouten van organisaties:
- Multifactor authenticatie wordt niet afgedwongen.
- Toegangsrechten zijn niet goed ingesteld.
- Software is verouderd.
- Gebruik van default inloggegevens.
- Remote dienstverlening (o.a. VPN) mist check op ongeoorloofd gebruik.
- Er is geen beleid dat sterke wachtwoorden afdwingt.
- Clouddiensten zijn niet goed geconfigureerd.
- Open poorten bieden criminelen vrij toegang.
- Scan op phishing-pogingen ontbreekt.
- Detectie op omzeilen beveiliging apparatuur ontbreekt.
Customer Identity and Access Management
LoginRadius Releases Consumer Identity Trend Report 2022: The Rise of Passwordless, and More
Martech Series, 27 april 2022
LoginRadius heeft het jaarlijkse “Consumer Digital Identity Trend Report 2022” gepubliceerd. Het rapport belicht 9 trends op het gebied van CIAM en hoe de klantverwachtingen veranderen. Username/password is nog steeds de meest gebruikte authenticatiemethode (62,02%), gevolgd door social, mobile en passwordless.
Digital Identity
Digicampus, Dutch Blockchain Coalition en IDnext bundelen hun krachten
Digicampus, 2 mei 2022
Digicampus, de Dutch Blockchain Coalition en iDnext bundelen hun krachten. Het doel van de drie partijen is om gezamenlijk met evenementen, workshops en papers de dialoog over een betrouwbare (decentrale) digitale identiteit vorm te geven.
Brussel wil Europees patiëntendossier na ‘succes’ QR-code
Telegraaf, 3 mei 2022
De Europese Commissie heeft met ‘The European Health Data Space’ een soort Europees elektronisch patiëntendossier voorgesteld. Daarmee moeten EU-burgers als zij bijvoorbeeld ziek worden tijdens een vakantie in een ander EU-land makkelijk toegang krijgen tot hun medische gegevens. Daarnaast zouden de gegevens met een speciale vergunning bruikbaar moeten zijn voor o.a. onderzoekers en overheidsinstellingen. Of het EU patiëntendossier er ook echt gaat komen, is nog maar de vraag. Met het voorstel bevindt de Europese Commissie zich op ‘uiterst gevoelig terrein van privacy en cybersecurity’ en er wordt dan ook een flink debat verwacht in het Europees Parlement.
Persoonsgegevens zijn geen eigendom van de burger
iBestuur, 10 mei 2022
Een expert panel concludeert dat persoonsgegevens geen eigendom van de burger zijn. In de verhouding tussen de overheid en de burger is de zeggenschap over persoonsgegevens administratiefrechtelijk geregeld en dit moet volgens de experts ook zo blijven. Wel zouden de mogelijkheden voor burgers om collectief in actie te komen tegen AVG-overtredingen versterkt moeten worden.
Harmonisatie nodig in het landschap van Europese digitale identiteiten
iBestuur, 17 mei 2022
In dit artikel onderzoekt Innopay hoe gefragmenteerd het landschap van Europese digitale identiteiten is en wordt er gekeken naar enkele lidstaten. Het gebrek aan een Europese aanpak heeft namelijk geleid tot een gefragmenteerd landschap met uiteenlopende ID-oplossingen. Dit varieert namelijk van open, publiek-private netwerken tot gecentraliseerde, publieke oplossingen. De herziening van de eIDAS zak zorgen voor een meer interoperabel model, maar volledige harmonisatie zal volgens Innopay een grote uitdaging zijn.
Nederlander staat open voor nieuwe identificatiemethoden
iBestuur, 24 mei 2022
Uit een onderzoek van Signicat onder ruim 7600 consumenten van financiële producten blijkt dat Nederlanders open staan voor nieuwe, innovatieve manieren om hun identiteit aan te tonen. iDIN heeft echter altijd nog de voorkeur. Opvallend is dat Nederlanders hechten aan keuzevrijheid: ruim driekwart wil kiezen uit verschillende identificatiemethoden.
Nederlandse Overheid
CDA wil recordboete Belastingdienst inzetten voor naleving AVG
Security.nl, 3 mei 2022
Kamerlid Van Dijk (CDA) heeft in Kamervragen gevraagd of de recordboete die de Belastingdienst kreeg opgelegd door de Autoriteit Persoonsgegevens gebruikt kan worden voor maatregelen zodat de Belastingdienst in de toekomst de AVG niet meer overtreedt.
Wetsvoorstel: informatie cyberdreiging breder delen
Digitale Overheid, 3 mei 2022
Met een wijziging van de Wet beveiliging netwerk- en informatiesystemen moet er een wettelijke grondslag komen zodat het NCSC in meer situaties informatie met vitale aanbieders en overheidsorganisaties (OKTT’s) kan delen.
Privacy toezichthouders willen verbeteringen Europese Data Act
Security.nl, 6 mei 2022
EU privacy toezichthouders zouden graag zien dat de het voorstel van de EU Data Act op een aantal punten wordt verbeterd. Zo mag de Data Act geen afbreuk doen aan de AVG en mogen overheden geen te ruime bevoegdheid krijgen om persoonsgegevens op te eisen van private organisaties.
AIVD: digitale dreiging neemt exponentieel toe
Computable, 10 mei 2022
Volgens Erik Akerboom, directeur-generaal van de AIVD, zijn wij ons in Nederland onvoldoende bewust van de continue cyberdreiging. Cybersecurity zou een ‘hoofdzaak’ moeten zijn. Daarnaast pleit Akerboom voor aangepaste wet- en regelgeving om sneller te kunnen handelen.
57% Nederlanders: cybersecurity verdient eigen ministerie
AG Connect, 10 mei 2022
Uit onderzoek van Telindus blijkt dat 57% van de Nederlanders vindt dat cybersecurity een eigen ministerie verdient. Daarnaast vindt 56% dat de overheid verantwoordelijk is voor hun cyberveiligheid. Ook bedrijven (11,4%) en IT-bedrijven (13,1%) worden genoemd. Slechts 6% vindt dat de eindgebruiker zelf verantwoordelijk is. De overheid heeft volgens deze Nederlanders dus een zorgplicht. 90% vindt dat er fundamentele veranderingen nodig zijn binnen de Nederlandse IT-infrastructuur om cyberaanvallen tegen te gaan. Toch benadrukt Telindus dat de overheid niet alles moet afdwingen met wet- en regelgeving.
Veel meer datalekken door cyberaanvallen, privacywaakhond bezorgd
NOS, 25 mei 2022
De Autoriteit Persoonsgegevens meet in haar Jaarrapportage meldplicht datalekken 2021 een grote stijging van het aantal meldingen van datalekken door cyberaanvallen: 88% meer dan in 2021. Dit komt neer op 2210 meldingen van de in totaal 25.000 meldingen die de AP binnenkreeg. Naar slechts 36 meldingen is daadwerkelijk onderzoek gedaan. De AP vraagt daarnaast extra aandacht voor de rol van IT-leveranciers. Een relatief kleine groep leveranciers is namelijk verantwoordelijk voor de grote hoeveelheid datalekken: 1800 organisaties maakten afgelopen jaar melding van een lek en dat bleek terug te voeren naar 28 leveranciers. Naar schatting waren het afgelopen jaar 7 mln. mensen het slachtoffer daarvan.
Overig
Ruim 15 procent ICT-budget gaat naar security
Computable, 3 mei 2022
Uit onderzoek van Computable onder 279 Nederlanders blijkt dat 15% van het totale ICT-budget van Nederlandse organisaties naar security gaat. 7% heeft een securitybudget van €5.000.000 of meer. Desondanks geeft 10% ook aan dat er geen budget is voor security en 42% van de respondenten weet niet óf en hoe hoog het budget voor security is. Computable heeft in het onderzoek ook gekeken naar de specifieke onderwerpen van het NIST framework (identify, protect, detect, respond en recover). Daaruit blijkt dat organisaties het meest investeren in Protect. 33,5% van het budget gaat naar toegangscontrole, awareness, informatiebeveiliging etc. Dit wordt gevolgd door Detect (22,4%), Identify (19,5%), Respond (12,8%) en Recover (11,8%).
63% van vacatures ICT-sector moeilijk vervulbaar
AG Connect, 3 mei 2022
UWV meldt op basis van zijn werkgeversonderzoek dat 63% van de ICT-vacatures moeilijk vervulbaar is. Werkgevers geven aan dat sollicitanten onvoldoende vakkennis of -ervaring hebben. Het UWV stelt echter ook dat werkgevers vaak nog hoge eisen stellen. Om zelf ook bij te dragen aan een oplossing voor het tekort aan IT’ers is het UWV Werkbedrijf een samenwerking aangaan met hogescholen. Via Make IT Work kunnen werkzoekenden een omscholingstraject van 11 maanden volgen.
Podcast tip van de maand
DataChecker | A Secure Thing: in deze podcastserie wordt met verschillende specialisten gesproken over ID-verificatie, veiligheid en wet- en regelgeving in de onlinewereld.